¿Cómo eliminar al malware SMSSpy de su dispositivo Android?
Escrito por Tomas Meskauskas el
¿Qué es SMSSpy?
SMSSpy se refiere a un trozo de software malicioso que se hace pasar por varias aplicaciones de plataformas legítimas de comercio electrónico. Este malware tiene como objetivo obtener las credenciales bancarias online de las víctimas y así obtener acceso a los fondos almacenados en las cuentas. En el momento en que investigamos SMSSpy, estaba dirigido exclusivamente a usuarios de Malasia. El programa malicioso tiene la capacidad de extraer las credenciales de ocho bancos populares que ofrecen sus servicios en Malasia.
Según un informe de la página web welivesecurity.com de ESET, las campañas que propagan SMSSpy se identificaron por primera vez a fines de 2021. El malware se presentó como una aplicación de Maid4u, un servicio de limpieza legítimo, y se promocionó a través de publicidad maliciosa en Facebook.
Descripción general de SMSSpy
El malware en sí no es particularmente de alta gama. Solo solicita a los usuarios un permiso: leer los SMS entrantes (mensajes de texto). SMSSpy busca acceder a estos mensajes para eludir cualquier proceso 2FA (autenticación de dos fautores) mediante la obtención de posibles códigos de autenticación enviados por el banco objetivo.
Sin embargo, las víctimas aún pueden ver todos los mensajes de texto recibidos, ya que este malware no puede eliminarlos. Por lo tanto, si el banco envía alertas sobre actividades sospechosas en sus cuentas, los usuarios podrán leer los SMS.
Como se mencionó en la introducción, la investigación de ESET descubrió que SMSSpy se promocionó por primera vez a través de anuncios maliciosos en Facebook. Los anuncios llevaron a las víctimas a páginas web falsas, que imitan sitios malasios genuinos, por ejemplo, Grabmaid, Maid4u, MaidACall, Maideasy, Maria's Cleaning, YourMaid y PetsMore. Seis de ellos ofrecen servicios de limpieza, mientras que el séptimo ofrece productos para el cuidado de mascotas.
Las páginas web ilegítimos son bastante sofisticados e imitan fielmente el diseño del original. Sin embargo, la compra directa a través de los sitios falsos no está disponible y se indica a los usuarios que instalen la aplicación de la tienda online desde Google Play. Sin embargo, cuando la víctima intenta hacerlo, es redirigida a un servidor malicioso y descarga SMSSpy en su lugar.
Es de destacar que la instalación exitosa requiere que el dispositivo tenga habilitada la opción "Instalar aplicaciones desconocidas", ya que no es la configuración predeterminada. Además, es pertinente mencionar que solo dos de las plataformas de comercio electrónico legítimas tienen sus aplicaciones en Google Play.
Al abrirse, las aplicaciones maliciosas solicitan al usuario que inicie sesión, e independientemente de si las credenciales proporcionadas son correctas, se aceptan como tales.
Los disfraces de SMSSpy también aparecen operativos, es decir, los usuarios pueden navegar y seleccionar productos/servicios. Cuando las víctimas intentan pagar su pedido, se les presentan dos opciones: transferencia bancaria o tarjeta de crédito (aunque esta última no estaba operativa en el momento de la investigación). La pasarela de pago falsa solicita al usuario que seleccione su banco: Affin Bank, Bank Islam Malaysia, BSN, CIMB Bank, Maybank, Hong Leong Bank, Public Bank Berhad o RHB. SMSSpy puede registrar las identificaciones y contraseñas de todos estos bancos.
Inmediatamente después de que las víctimas ingresan sus credenciales, se les presenta un error falso que afirma que los datos proporcionados eran incorrectos. Sin embargo, la información de inicio de sesión ya se ha enviado a los ciberdelincuentes, y la capacidad de lectura de SMS del malware garantiza que la verificación 2FA no evitará ninguna actividad ilegal en la cuenta.
En resumen, las infecciones por SMSSpy pueden ocasionar graves problemas de privacidad y pérdidas financieras significativas. Si sospecha que su dispositivo Android ya está infectado con este u otro malware, le recomendamos encarecidamente que utilice un antivirus para eliminarlo de inmediato.
| Nombre | Virus SMSSpy |
| Tipo de Amenaza | Android malware, aplicación maliciosa, aplicación no deseada. |
| Nombres de Detección | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.SmsSpy.11081), ESET-NOD32 (una variante de Android/Spy.SmsSpy.UZ), Kaspersky (HEUR:Trojan-Spy.AndroidOS.SmsThief.rz), Lista Completa (VirusTotal) |
| Dominios Relacionados | cleangmy[.]site, grabamaid-my[.]online, maidacalls[.]online, my-maid4us[.]site, petsmore[.]online, token2[.]club, yourmaid[.]online |
| Síntomas | El dispositivo funciona lentamente, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones cuestionables, el uso de datos y batería aumenta significativamente, los navegadores redirigen a páginas web cuestionables, se muestran anuncios intrusivos. |
| Métodos de Distribución | Archivos adjuntos de email infectados, anuncios maliciosos online, ingeniería social, aplicaciones engañosas, sitios web fraudulentos. |
| Daño | Información personal robada (mensajes privados, inicios de sesión/contraseñas, etc.), disminución del rendimiento del dispositivo, batería que se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad (las aplicaciones maliciosas pueden abusar de las aplicaciones de comunicación). |
| Eliminación de Malware (Android) | Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan analizar su dispositivo Android con software anti-malware legítimo. Nosotros recomendamos Avast, Bitdefender, ESET o Malwarebytes. |
Ejemplos de malware bancario
Hemos analizado decenas de programas maliciosos dirigidos a los sistemas operativos Android: Octo, Escobar y Xenomorph son algunos ejemplos de nuestros últimos hallazgos de malware bancario.
El software malicioso puede tener varias capacidades en diferentes combinaciones. El robo de datos bancarios u otra información vulnerable es una característica común de muchos programas dañinos. Por lo tanto, aquellos diseñados para extraer datos también pueden causar infecciones en cadena, bloquear la pantalla del dispositivo (ransomware screenlocker) o realizar cualquier cantidad de acciones maliciosas.
¿Cómo se infiltró SMSSpy en mi dispositivo?
Como se detalló anteriormente, SMSSpy se difunde bajo la apariencia de aplicaciones que pertenecen a plataformas de comercio electrónico genuinas (en el momento de redactar este informe, aquellas que ofrecen servicios de limpieza y artículos para el cuidado de mascotas en Malasia). Las aplicaciones falsas se promocionan a través de páginas web igualmente fraudulentos de las tiendas online imitadas. Se observó que estos sitios se promocionaban a través de anuncios maliciosos de Facebook.
Sin embargo, el malware se propaga utilizando varias técnicas y SMSSpy puede no ser una excepción. Las estafas online y el spam (SMS, emails, etc.) se emplean comúnmente para enviar páginas web maliciosas y archivos infecciosos (por ejemplo, archivos, archivos ejecutables, documentos PDF y de Microsoft Office, JavaScript, etc.).
Los canales de descarga dudosos, como software gratuito y páginas web gratuitos de alojamiento de archivos, redes de intercambio punto a punto y otras fuentes de terceros, respaldan con frecuencia el malware (generalmente disfrazado o incluido con contenido regular).
Se ha observado que los ciberdelincuentes abusan de Google Play Store para alojar sus aplicaciones maliciosas. Las actualizaciones falsas y las herramientas de activación de software ilegal ("cracks") también son populares en la distribución de malware.
¿Cómo evitar la instalación de malware?
Recomendamos encarecidamente investigar el software y descargarlo solo de canales oficiales y verificados. Además, todos los programas deben activarse y actualizarse mediante funciones/herramientas proporcionadas por desarrolladores legítimos.
Los archivos adjuntos y enlaces presentes en emails y mensajes sospechosos/irrelevantes no deben abrirse, ya que esto puede resultar en una infección de malware. Otra recomendación es tener cuidado al navegar, ya que el contenido fraudulento y malicioso suele parecer genuino e inofensivo.
Debemos enfatizar la importancia de tener un antivirus confiable instalado y actualizado. El software de seguridad debe usarse para ejecutar análisis regulares del sistema y eliminar amenazas.
Comparación de apariencia entre las páginas web legítimas (a la izquierda) y los falsos que distribuyen SMSSpy (a la derecha). Fuente welivesecurity.com:
Menú rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo deshabilitar las notificaciones del navegador en el navegador web Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo deshabilitar las notificaciones del navegador en el navegador web Firefox?
- ¿Cómo reiniciar el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo Seguro"?
- ¿Cómo comprobar el uso de la batería de las aplicaciones?
- ¿Cómo verificar el uso de datos de las aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo deshabilitar aplicaciones que tienen privilegios de administrador?
Elimina el historial de navegación del navegador web Chrome:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Toque "Borrar datos de navegación", seleccione la pestaña "AVANZADO", elija el rango de tiempo y los tipos de datos que desea eliminar y toque "Borrar datos".
Desactive las notificaciones del navegador en el navegador web Chrome:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Desplácese hacia abajo hasta que vea la opción "Configuración del sitio" y tóquela. Desplácese hacia abajo hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones del navegador, tóquelos y haga clic en "Borrar y restablecer". Esto eliminará los permisos otorgados a estos sitios web para enviar notificaciones. Sin embargo, una vez que visite el mismo sitio nuevamente, es posible que solicite un permiso nuevamente. Puede elegir si desea otorgar estos permisos o no (si elige rechazar el sitio web irá a la sección "Bloqueado" y ya no le pedirá el permiso).
Restablezca el navegador web Chrome:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta encontrar la aplicación "Chrome", selecciónela y toque la opción "Almacenamiento".
Toque "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción presionando "Aceptar". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.
Elimina el historial de navegación del navegador web Firefox:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Desplácese hacia abajo hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y toque "BORRAR DATOS".
Desactive las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que envía notificaciones del navegador, toque el icono que se muestra a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta, opte por la opción "Notificaciones" y toque "BORRAR".
Reinicie el navegador web Firefox:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta encontrar la aplicación "Firefox", selecciónela y toque la opción "Almacenamiento".
Toque "BORRAR DATOS" y confirme la acción grabando "BORRAR". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstale aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada o maliciosa, selecciónela y toque "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (como por ejemplo, aparece un mensaje de error), debe intentar utilizar el "Modo Seguro".
Inicie el dispositivo Android en "Modo Seguro":
El "Modo Seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver varios problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden que los usuarios lo hagan cuando el dispositivo está funcionando "normalmente").
Presione el botón "Encendido" y manténgalo presionado hasta que vea la pantalla "Apagar". Toque el icono "Apagar" y manténgalo presionado. Después de unos segundos, aparecerá la opción "Modo Seguro" y podrá ejecutarla reiniciando el dispositivo.
Verifique el uso de la batería de las aplicaciones:
Vaya a "Configuración", baje hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Toque "Batería" y verifique el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para usar la menor cantidad de energía posible, brindando la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Verifique el uso de datos de las aplicaciones:
Vaya a "Configuración", baje hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un gran uso de datos puede indicar la presencia de aplicaciones maliciosas. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar cuando el dispositivo está conectado únicamente a una red inalámbrica. Por esta razón, debe verificar el uso de datos móviles y Wi-Fi.
Si encuentra una aplicación que usa una gran cantidad de datos a pesar de que nunca la usa, le recomendamos encarecidamente que la desinstale lo antes posible.
Instale las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y errores de los que pueden abusar los ciberdelincuentes. Un sistema desactualizado es mucho más vulnerable, por lo que siempre debe asegurarse de que el software de su dispositivo esté actualizado.
Vaya a "Configuración", baje hasta que vea "Actualización de software" y tóquelo.
Toca "Descargar actualizaciones manualmente" y comprueba si hay actualizaciones disponibles. Si es así, instálelos inmediatamente. También recomendamos habilitar la opción "Descargar actualizaciones automáticamente": permitirá que el sistema le notifique una vez que se publique una actualización y/o la instale automáticamente.
Restablezca el sistema a su estado predeterminado:
Realizar un "Restablecimiento de fábrica" es una buena manera de eliminar todas las PUAs, restaurar la configuración del sistema a los valores predeterminados y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos dentro del dispositivo, incluidas fotos, archivos de video/audio, números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.
También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.
Vaya a "Configuración", baje hasta que vea "Acerca del teléfono" y tóquelo.
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora elija la acción que desea realizar:
"Restablecer configuración": restablece todas las configuraciones del sistema a sus valores predeterminados.
"Restablecer configuración de red": restablece todas las configuraciones relacionadas con la red a sus valores predeterminados.
"Restablecimiento de datos de fábrica": restablece todo el sistema y elimina por completo todos los datos almacenados.
Deshabilite las aplicaciones que tienen privilegios de administrador:
Si una aplicación malintencionada obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debe verificar qué aplicaciones tienen tales privilegios y deshabilitar las que no deberían.
Vaya a "Configuración", baje hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otras configuraciones de seguridad", tóquelo y luego toque "Aplicaciones de administración del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y luego toque "DESACTIVAR".
Preguntas Frecuentes (FAQ)
Mi dispositivo Android está infectado con el malware SMSSpy, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, medidas tan drásticas son innecesarias para la eliminación de SMSSpy.
¿Cuáles son los mayores problemas que puede causar el malware SMSSpy?
Las amenazas que plantea un software malicioso dependen de sus funcionalidades y del modus operandi de los atacantes. SMSSpy apunta a datos bancarios. Por lo tanto, sus principales amenazas incluyen graves problemas de privacidad y pérdidas financieras.
¿Cuál es el propósito del malware SMSSpy?
Basado en las habilidades de SMSSpy (es decir, robar credenciales de inicio de sesión bancarias), está claramente diseñado para generar ingresos a expensas de las víctimas. Si bien las ganancias son la motivación más común detrás de los ataques de malware, este software también se puede usar para: divertir a los ciberdelincuentes, interrumpir ciertos procesos (por ejemplo, páginas web, servicios, empresas, etc.), lanzar ataques con motivos políticos o geopolíticos o llevar a cabo venganzas personales.
¿Cómo se infiltró el malware SMSSpy en mi dispositivo?
El malware se distribuye principalmente a través de estafas online, descargas ocultas (sigilosas y engañosas), spam (por ejemplo, emails, SMS, etc.), publicidad maliciosa, fuentes de descarga dudosas (por ejemplo, sitios no oficiales y gratuitos, redes de intercambio P2P, etc. ), herramientas de activación de programas ilegales ("craqueo") y actualizaciones falsas. Además, algunos programas maliciosos pueden autoproliferar a través de redes locales o dispositivos de almacenamiento desconectados (por ejemplo, discos duros externos, unidades flash USB, etc.).
¡Excelente!
▼ Mostrar discusión.